Zero trust: Como adotar um modelo dinâmico para permissão de acesso

ThiagoLopes1_Quest-scaled.jpg
Thiago Lopes*
15/04/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

As mudanças repentinas que sofremos no último ano trouxeram um desafio ainda maior para as equipes de cibersegurança/TI das empresas. Novas brechas apareceram com o modelo de trabalho remoto e estão sendo extensivamente exploradas por hackers e softwares maliciosos.

Dentro das estratégias mais tradicionais de defesa cibernética se emprega o mantra principal de “confie, mas verifique”. Este conceito prega um plano de alta defesa de perímetro, verificando todo o entorno em que estavam seus dispositivos e seus usuários, garantindo assim que colaboradores acessem os computadores e sistemas de uma empresa dentro de um ambiente controlado e seguro. Quando esses usuários acessam ambientes externos via internet, devem ser altamente monitorados e controlados para que invasores externos não explorem esses acessos como oportunidade de invasão.

Porém, no cenário onde não possível garantir segurança de onde as pessoas estão trabalhando e como vão acessar as redes corporativas, novos conceitos de defesa devem ser empregados. A estimativa de investimentos de instituições públicas e privadas em segurança no Brasil é de US$ 900 milhões este ano, um avanço de 12,5% em relação a 2020, segundo a consultoria IDC.

O modelo de segurança zero trust, popularizado pelo analista da Forrester John Kindervag, apresenta o conceito “nunca confie, sempre verifique”. Por esse conceito, pessoas e equipamentos nunca serão considerados confiáveis, demandando que continuamente os usuários, dispositivos e aplicações sejam verificados antes de permitir qualquer nível de acesso. Esse modelo propõe a necessidade de as empresas estabelecerem políticas que implementem padrões dinâmicos de acesso, e que possuam mecanismos que possam automatizar estas autorizações e revogações de acesso conforme a necessidade de cada empresa.

Para implementar zero trust é necessário se certificar que todos os recursos são acessados de forma segura independente de sua localização. Já que todos os usuários são não confiáveis, deve-se aplicar uma estratégia para gerenciar acesso e informações privilegiadas. Automatizar o processo que permita aplicar e rastrear as políticas definidas.

Segundo a pesquisa Zero Trust Progress Report de 2020 aplicada em 400S tomadores de decisão sobre cibersegurança, 72% dos entrevistados estão implementando ou planejando projetos de adoção de zero trust. Nesta mesma pesquisa, os entrevistados apontam como os maiores desafios em suas corporações o excesso de privilégios em contas de seus colaboradores, a dificuldade de controlar os acessos concedidos a parceiros de negócio e a vulnerabilidade de dispositivos pessoais de seus colaboradores.

Aplicar um modelo de segurança que implique em grandes mudanças não necessariamente precisa ser difícil. É possível adotar este modelo de forma gradual e assim, com planejamento realista e parceiros adequados encontrar uma implantação factível à realidade das empresas. Esse processo deve ser precedido de uma análise de quais são as principais vulnerabilidades a serem atacadas pelas empresas e uma avaliação de tecnologias e parceiros de negócios que possam garantir a implantação dos princípios de zero trust.

*Thiago Lopes é Country Manager da Quest Software.

Compartilhar:
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório